descargar - Publicador AC Raiz SUSCERTE

Firmado electrónicamente por 

Piero Mangialomini Darbisi 

en fecha 2011-10-04 09:35:50.045 

ESTUDIO DE FACTIBILIDAD PARA ACTUALIZACIÓN DE ALGORITMO DE HASH 

EN LA INFRAESTRUCTURA NACIONAL DE CERTIFICACIÓN ELECTRÓNICA 

DEL ESTADO VENEZOLANO 

DERECHOS DE USO 

La presente documentación es propiedad de la Superintendencia de Servicios de 

Certificación Electrónica SUSCERTE, tiene carácter privado y confidencial y esta 

dirigido exclusivamente a su(s) destinatario(s), no podrá ser objeto de 

reproducción total o parcial, ni transmisión de ninguna forma o por cualquier 

medio, ya sea electrónico, mecánico, digital, registro o cualquier otro, no podrá 

ser distribuido sin el permiso previo y escrito de SUSCERTE, bajo ningún concepto. 

Si usted ha recibido este mensaje por error, debe evitar realizar cualquier acción 

descrita anteriormente, asimismo le agradecemos comunicarlo al remitente y borrar 

el mensaje y cualquier documento adjunto. El incumplimiento de las limitaciones 

señaladas por cualquier persona que tenga acceso a la documentación será sancionada 

conforme a la ley. 

Av. Andrés Bello, Torre BFC, Piso 13, Sector Guaicaipuro, Caracas – Venezuela 

Tlfs. +58 212 5785674 – Fax +58 212 5724932 . http://www.suscerte.gob.ve 

De Uso Público

Destinatario: DESPACHO DE LA SUPERINTENDENCIA 

Nombre del proyecto 

Fecha última edición 26/09/11 

Responsable DRA 

Restricciones de uso Ver cuadro inferior 

CONTROL DE VERSIONES 

Versión Áreas 

Modificadas 

Estudio de factibilidad para actualización de 

Algoritmo de Hash, en la Infraestructura 

Nacional de Certificación Electrónica del Estado 

Venezolano 

Descripción del cambio Autor Fecha 

1.0 Todas Versión Inicial DRA 01/09/10 

'1.1 Todas Formato y recomendaciones DRA 03/09/10 

1.2 Consideraciones Actualización de Información DRA 08/09/10 

1.3 Recomendaciones Actualización de Información DRA 26/09/11 

1.4 Anexos Actualización de Información DRA 28/09/11 

DERECHOS DE USO 

La presente documentación es propiedad de la Superintendencia de Servicios de 

Certificación Electrónica SUSCERTE, tiene carácter privado y confidencial y esta 

dirigido exclusivamente a su(s) destinatario(s), no podrá ser objeto de 

reproducción total o parcial, ni transmisión de ninguna forma o por cualquier 

medio, ya sea electrónico, mecánico, digital, registro o cualquier otro, no podrá 

ser distribuido sin el permiso previo y escrito de SUSCERTE, bajo ningún concepto. 

Si usted ha recibido este mensaje por error, debe evitar realizar cualquier acción 

descrita anteriormente, asimismo le agradecemos comunicarlo al remitente y borrar 

el mensaje y cualquier documento adjunto. El incumplimiento de las limitaciones 

señaladas por cualquier persona que tenga acceso a la documentación será sancionada 

conforme a la ley. 



De Uso Público

ÍNDICE 

CONTROL DE VERSIONES....................................................................................................................2 

ÍNDICE......................................................................................................................................................3 

JUSTIFICACIÓN.......................................................................................................................................5 

CONCEPTOS.............................................................................................................................................7 

COLISIONES SHA...................................................................................................................................8 

1. Colisiones..........................................................................................................................................8 

2. Antecedentes en el mundo de Ataques de Colisiones SHA1...........................................................10 

3. Colisiones SHA1 y los Certificados Electrónicos...........................................................................12 

GENERALIDADES.................................................................................................................................13 

AUTORIDADES, ESTANDARES Y APLICACIONES MIGRADAS A SHA256 ó SUPERIOR.........17 

SITUACIÓN ACTUAL – VENEZUELA................................................................................................20 

Proveedores..........................................................................................................................................20 

Línea de tiempo...................................................................................................................................20 

RECOMENDACIONES...........................................................................................................................21 

BIBLIOGRAFIA......................................................................................................................................24 

ANEXOS..................................................................................................................................................25 

A. RFC 4270. Ataques a resúmenes criptográficos en protocolos de Internet...................................25 

B. Informe de los Investigadores de la Universidad de Shadong (China) donde demuestran los 

procedimientos matemáticos con los que generaron colisiones en SHA1 para romper con la 

seguridad.............................................................................................................................................34 

C. Viabilidad de SHA1.......................................................................................................................34 

D. Proyecto de Colisión SHA1......................................................................................................38 

E. Búsqueda de colisiones SHA1 .......................................................................................................40 

F. Ataques de Colisiones SHA1..........................................................................................................42 



De Uso Público

JUSTIFICACIÓN 

Las actividades desarrolladas por la Superintendencia de Servicios de Certificación 

Electrónica (SUSCERTE) y su funcionamiento, tienen su asidero legal en el Decreto con 

Fuerza de Ley Nº 1.204 de fecha 10 de Febrero de 2001, de Mensaje de Datos y Firmas 

Electrónicas; publicado en la Gaceta Oficial de la República Bolivariana de Venezuela Nº 

37.148 del 28 de febrero de 2001; en el cual se establece en el artículo 20, su creación, 

como un servicio autónomo con autonomía presupuestaria, administrativa, financiera y de 

gestión, en las materias de su competencia; en concordancia con lo previsto y sancionado en 

el Reglamento Parcial del Decreto de Ley Sobre Mensajes de Datos y Firmas Electrónica y el 

Decreto sobre Organización y Funcionamiento de la Administración Pública Nacional Nº 

6.732, de fecha 02 de junio de 2009, publicado en la Gaceta Oficial de la República 

Bolivariana de Venezuela Nº 39.202 del 17 de junio de 2009. 

En tal sentido, SUSCERTE, como órgano rector a nivel nacional, en materia de 

Certificación Electrónica, tiene como objeto entre otros, acreditar, supervisar, controlar y 

revocar a los Proveedores de Servicios de Certificación Electrónica, conforme a las 

atribuciones conferidas en los instrumentos legales supra indicados. 

Como ente rector en materia de certificación electrónica del Estado Venezolano, 

SUSCERTE, se apega a los estándares internacionales y mejores prácticas en materia de 

certificación electrónica y seguridad de la información; empleando elementos que garanticen 

la integridad, no repudio y confidencialidad de la información intercambiada, a través 

de algoritmos de encriptación y huella electrónica (hash). En este sentido, la 

Superintendencia ha realizado un análisis de las tendencias mundiales y nacionales para 

este tipo de tecnología, en aras de garantizar que en la emisión de los Certificados 

Electrónicos se utilicen herramientas y estándares adecuados a los usos internacionales, que 

no permitan su alteración o modificación, y que garanticen la seguridad técnica de los 

procesos de certificación electrónica, en cumplimiento de la Ley de Mensajes de Datos y 



De Uso Público

Firmas Electrónicas. 

En otro sentido, existe lo que se denomina, La Infraestructura Nacional de 

Certificación Electrónica, donde se describe como el conjunto de equipamiento (hardware), 

programas (software), dispositivos criptográficos, políticas, leyes, procedimientos y 

normativas legales o sublegales; dispuestos y utilizados de manera exclusiva por el Sistema 

Nacional de Certificación Electrónica, que está compuesto por la Autoridad de Certificación 

Raíz y los Proveedores de Servicios de Certificación, acreditados por este Despacho para la 

generación, almacenamiento y publicación de los certificados electrónicos, así como también 

para la publicación de información y consulta del estado de vigencia y validez de dichos 

certificados electrónicos. Esta Infraestructura se basa en dos pilares fundamentales: la 

confianza y la tecnología. 

1. La confianza está enmarcada en el desarrollo e implementación de políticas de 

seguridad, para satisfacer los niveles requeridos de confidencialidad en la 

administración y emisión de certificados electrónicos. 

2. La tecnología, está definida como una herramienta para el mantenimiento y 

actualización de plataformas de hardware y software que dan soporte a la 

Infraestructura Nacional de Certificación Electrónica. 

La Infraestructura Nacional de Certificación Electrónica, fue concebida según 

Providencia emitida el 2 de marzo de 2007; en la cual se establecen las Normas Técnicas 

bajo las cuales SUSCERTE, coordinará e implementará el modelo jerárquico de dicha 

infraestructura, para que los Proveedores de Servicios de Certificación acreditados (PSC) 

emitan los certificados electrónicos en el Marco del Decreto Ley sobre Mensajes de Datos y 

Firmas Electrónicas y su Reglamento. 

Es así como SUSCERTE, promueve y divulga el uso de los certificados electrónicos y 

de la firma electrónica en Venezuela con la creación de la Autoridad Certificadora Raíz del 



De Uso Público

Estado Venezolano, haciendo énfasis en el uso de claves criptográficas tanto simétricas 

como asimétricas, gracias al soporte y confianza que es brindado por los sistemas de 

clave pública a los algoritmos que se implementan con esta tecnología, siempre 

garantizando la confiabilidad, integridad y privacidad de la información que se intercambia, a 

través de métodos tecnológicos que garanticen rapidez y seguridad, con todas las ventajas 

de los sistemas asimétricos, incluyendo la firma electrónica. Donde además, SUSCERTE 

esta obligado a adecuarse a los cambios tecnológicos que a nivel mundial llevan la batuta en 

cuanto al tema criptográfico se refiere y por ende migrar hacia las nuevas tendencias. Tal es 

el caso del SHA256, presentando características matemáticas funcionales que robustecen el 

servicio de confiabilidad, integridad y privacidad, del cual se mencionó con anterioridad. 

Algoritmo Criptográfico. 

CONCEPTOS 

Transformación matemática que partiendo de un texto plano lo cambia a datos 

ilegibles cifrados. 

Certificado Electrónico. 

Mensaje de Datos proporcionado por un Proveedor de Servicios de Certificación que 

le atribuye certeza y validez a la Firma Electrónica. 

Cifrado. 

Transformación de un mensaje en otro, utilizando una clave para impedir que el 

mensaje transformado pueda ser interpretado por aquellos que no conocen la clave. 

Confiabilidad. 

Parte que asegura que la información sólo puede ser vista y utilizada por las partes 

que están autorizadas. La comunicación entre partes confiables se establece una vez que se 

ha realizado el proceso de autenticación. 



De Uso Público

Criptografía. 

Rama de las matemáticas aplicadas que se ocupa de transformar mensajes en formas 

aparentemente ininteligibles y devolverlas a su forma original. 

Algoritmo SHA. 

SHA (Secure Hash Algorithm - Algoritmo de Hash Seguro) es un sistema de 

funciones hash criptográficas relacionadas de la Agencia de Seguridad Nacional de los 

Estados Unidos (NSA) y publicadas por el National Institute of Standards and Technology 

(NIST). El primer miembro de la familia fue publicado en 1993 es oficialmente llamado SHA. 

Sin embargo, hoy día, no oficialmente se llama sha-0 para evitar confusiones con sus 

sucesores. Dos años atrás más tarde el primer sucesor de SHA fue publicado con el nombre 

SHA-1. Este algoritmo es hoy en día utilizado para almacenar las contraseñas de forma 

codificada, evitando su transferencia por la red sin protección. SHA-1, también es utilizado 

para integrar la firma electrónica en documentos electrónicos. 

1. Colisiones 

COLISIONES SHA 

La idea básica de un ataque de colisión hash se basa en que el atacante crea dos (2) 

mensajes que tengan el mismo valor hash (figura 1) firmado y que luego utiliza dicha firma 

sobre el otro mensaje para algunos propósitos ilegales y nefastos. 



De Uso Público

Figura 1. 

Ahora bien, en principio SHA-1 toma como entrada un mensaje de longitud máxima 

2 64 bits (más de dos mil millones de Gigabytes) y produce como salida un resumen de 160 

bits. Este número es mayor que el que se utilizaba en el algoritmo SHA original, 128 bits. Ya 

existen nuevas versiones de SHA que trabajan con resúmenes de 224, 256, 384 e incluso 

512 bits. 

La importancia de la rotura de una función hash se debe interpretar en el siguiente 

sentido: Un hash permite crear una huella digital, teóricamente única, de un archivo. Una 

colisión entre hashes supondría la posibilidad de la existencia de dos documentos con la 

misma huella. La inicial similitud propuesta con la equivalencia a que hubiese personas que 

compartiesen las mismas huellas digitales, o peor aún, el mismo ADN no es adecuada pues, 

aunque fuera trivial encontrar dos ficheros con el mismo resumen criptográfico ello no 

implicaría que los ficheros fueran congruentes en el contexto adecuado. Siguiendo con la 

hipótesis de la similitud biométrica de dos personas, sería el equivalente a necesitar 

modificar el número de brazos en una persona para que su impresión dactilar fuera igual a la 

de otra. 



De Uso Público

En este sentido, SHA1 y sus características matemáticas para blindarse ante posibles 

ataques de colisión ha sido puesto en duda desde hace algunos años atrás. Debido al 

desarrollo de la tecnología y la evolución de los procesadores matemáticos que se 

encuentran en los computadores, ha aumentado la capacidad de estas máquinas de realizar 

operaciones matemáticas complejas (criptoanálisis). Básicamente empleando la 

criptoanálisis, la misma se basa en que la búsqueda de un mensaje igual a otro, se puede 

hacer mediante fuerza bruta usando una búsqueda en las evaluaciones 2L, donde L es el 

numero de bits en encontrar dos mensajes. 

Por esta razón, se hizo posible calcular y predecir resultados iguales para distintos 

mensajes de entrada donde se utilice el algoritmo SHA-1, a través de una técnica conocida 

como “predicción de vectores de colisión”. 

2. Antecedentes en el mundo de Ataques de Colisiones SHA1. 

• El primer ataque registrado sobre este algoritmo, fue el conocido en el año 2004 como 

“ataque de cumpleaños”, basado en la predicción de un resultado (hash) utilizando 

métodos matemáticos y probabilísticos, donde en un par de días, con un equipo de 

computación de medianas prestaciones fue posible romper la seguridad del algoritmo. 

• A principios de 2005 un grupo de investigadores chinos de la Universidad de Shadong 

(Xiaoyun Wang y Hongbo Yu) y una colaboradora de la Universidad de Princeton 

(Yiqun Lisa) consiguió reducir el número de intentos para acelerar el proceso de 

colisión de dos mensajes cualesquiera a 2 69 . Poco después se avanzó hasta 2 63 . 

• Poco después, Christophe De Canni`ere, Florian Mendel, y Christian Rechberger, de 

la Graz University of Tecnology de Austria, realizaron pruebas exitosas de Ataques de 

colisión en 70 pasos, realizando entre otros un análisis del costo computacional que 



De Uso Público

implica realizar el ataque. 

• También, en el 2009, Cameron McDonald, Philip Hawkes y Josef Pieprzyk de la 

Universidad de Macquerie, ubicada en Sydney Australia, realizaron ataques de 

colisiones titulado "Camino Diferencial para SHA-1 con complejidad (2^52)", es decir 

4.503.599.627.370.496 de intentos, lo que se traduce en una vulneración importante; 

de lo cual se destaca lo siguiente: por cada unidad en la que se reduce el exponente, 

se reduce la fortaleza del algoritmo en un 50%. Dicho de otra manera, se puede decir 

que actualmente el algoritmo de firma SHA-1, se ha debilitado en más de un 99% en 

relación con su fortaleza inicial creada en el año de 1995. Esto se explica de la 

siguiente manera: 

➢ 2^52=4503599627370496 combinaciones. 

➢ Si las dividimos por las combinaciones por segundo: 

4503599627370496/70000000=64337138 seg 

➢ En horas-> 64337138/3600=17872 horas 

➢ En días-> 17872/24=745 días 

➢ En años => 2 años!. 

• Cloud computing de Amazon, ha realizado ataques de colisión por fuerza bruta, donde 

específicamente un investigador de Tecnologías de Información (TI), utilizó Amazon 

Web Services para romper seis (6) caracteres de la cadena de entrada de SHA-1 160 

bits en 49 minutos a un costo de $2,10. 

• Equipos en Hardware actualmente, tienen la capacidad para realizar ataques de 

colisión ó romper claves SHA1. Por ejemplo, el framework de Nvidia CUDA, con 

software Extreme GPU Bruteforcer y una Nvidea GeForce 8800GS es posible romper 

70 millones de claves SHA1 por segundo. 



De Uso Público

de SHA1. 

Tabla resumen de los primeros estudios y pruebas realizadas en ataques de colisión 

Universidades o Institutos que 

realizaron estudios de ataque a 

SHA-1 

Universidad de Shadong (China) Xiaoyun Wang 

Hongbo Yu 

Investigadores Año 

2005 

Universidad de Princeton (E.E.U.U.) Yiqun Lisa 2005 

Departamento de Algoritmos y 

Criptografía de la Universidad de 

Macquarie (Australia) 

Tabla nº1 

3. Colisiones SHA1 y los Certificados Electrónicos 

Cameron McDonald 

Philip Hawkes 

Josef Pieprzyk 

2009 

Las firmas electrónicas, al ser simplemente un conjunto de información que se 

agrega a los documentos, presentan varios problemas para poder asegurar que la 

información sea veraz, ya que no se puede asegurar cuál es el individuo que la está 

enviando hasta que un tercero certifique la identidad del mismo. 

Suponiendo que esto no sería problema, las firmas digitales presentan un 

inconveniente adicional con las funciones hash ya que al convertir el conjunto universo de 

todos los mensajes o documentos en un resultado finito, existen muchas combinaciones que 

darían entonces el mismo resultado de la función hash. De esta forma, virtualmente existen 

varios documentos que aplicados a la misma firma electrónica, darían el mismo resultado. 

Esto debido a que la función hash tiene una gráfica elíptica y éste comportamiento originan 

las colisiones. 



De Uso Público

Las colisiones pueden ser aprovechadas por un individuo de esta forma: Se crean 

dos mensajes diferentes pero se logra que ambos tengan el mismo resultado hash 

(colisión legítima). Se le envía uno de los mensajes al receptor y se consigue que él lo 

acepte y lo firme digitalmente. Como la persona lo que está firmando es el resultado 

hash entonces sería como que firmara ambos mensajes por lo que convenientemente, 

luego se le presenta a esta persona el segundo mensaje y de esta forma se engaña 

legítimamente. Este escenario es complicado, pero con el avance en la obtención de 

colisiones se prevé que en el futuro cercano no sea una tarea muy complicada. 

Lo mismo sucede con los certificados electrónicos, ya que se puede lograr 

que se acredite un individuo el cual utiliza su firma electrónica. Si otro individuo logra 

generar la misma firma, pero que esta tenga otra información al enviar un mensaje, podría 

utilizar el mismo certificado y el receptor no tiene la obligación de corroborar estos datos 

con el Certificado de modo que podría creer que es un mensaje válido cuando no lo es. 

Definitivamente en el caso de los Certificados Electrónicos, los problemas son 

menores debido al control en el proceso de acreditación, pero debido a que los Sistemas de 

Información no son infalibles, existen muchas formas de violentar el debido proceso de los 

Certificados. 

GENERALIDADES 

Cuando empezaron a aparecer debilidades del SHA-1, en el año 2004, se empezó a 

oír hablar del relevo, los algoritmos de la familia SHA-2, que incluyen los algoritmos SHA224, 

SHA256, SHA384 y SHA512. A todos estos algoritmos se les denomina “sha2”. 

A continuación, en la tabla nº2 se establece una matriz comparativa para estudiar la 

factibilidad en la actualización del algoritmo hash para su uso en certificados electrónicos y 



De Uso Público

firmas electrónicas de SHA-1 a SHA-256: 

Característica SHA 1 SHA 256 

Tipo Algoritmo de hash Algoritmo de hash 

Creación 1995 2002 

Estándar ANSI FIPS 180-3 / FIPS 140-2 

Longitud del bloque de 

entrada (bits) 

Longitud del bloque de 

salida (bits) 

2 64 2 64 

160 bits 256 bits 

Longitud de Clave 1024 bits de cifrado 2048 bits de cifrado 

Operaciones 

matemáticas 

Ruptura (cantidad de 

operaciones necesarias) 

2 128 

2 256 

2 52 2 251,7 

Tiempo de ruptura 56 horas 38 mil años 

Equipo utilizado para 

ruptura 

Fecha de deprecación / 

Organización emisora 

Cluster de Servidor Quadcore 

1.90 Ghz; 8 GB RAM 

Cluster de Servidor Quadcore 

1.90 Ghz; 8 GB RAM 

2005 / NIST N/A 

Alerta de uso en Adobe 2010 N/A 

Alerta de uso en Linux 2010 N/A 

Alerta de uso en 

Microsoft 

Estudios sobre ataques 

publicados 

internacionalmente 

2010 N/A 

Departamento de Ciencias 

Físicas y Matemáticas de la 

Universidad de Tecnología de 

Nanyang (Singapur). 2005. 

Departamento de Algoritmos y 

Criptografía de la Universidad 

de Macquarie (Australia). 

2009. 

Ataques conocidos Ataque del “Cumpleaños” 

Ataque de Búsqueda de 



N/A 

N/A 

De Uso Público

Herramientas para 

romper algoritmo 

colisiones 

Ataque de Resistencia a 

Colisiones 

Ataque por Vectores 

Perturbadores 

Exploits para Crackear SHA-1 N/A 

Tabla nº2. Tabla comparativa SHA1 vs. SHA256 

Entes o Instituciones por país que han actualizado al algoritmo de firma SHA-2. 

Entes o Instituciones que implementan SHA-2. País 

Instituto Nacional de Tecnología da Informação - ITI Brasil 

Gobierno de España, Ministerio del Interior España 

CERES España 

ANF-AC España España 

CERTICAMARA Colombia 

ANF-AC Ecuador Ecuador 

Tabla nº3 

Sistemas que en la actualidad son compatibles con SHA-2. 

Sistemas que son compatibles con SHA-2 

GNU/Linux Debian 3.x y 4.x 

Ubuntu desde 7.x 

Mepis 

Microsoft Windows Windows 32 bits 

Windows 2000 

Windows XP 

Windows Vista 

Windows Server 2008 

Windows 7 

Windows 64 bits 

Windows Vista 



De Uso Público

Windows Server 2008 

Windows 7 

MAC OS Mac OS X, 10.4.x, 10.5.x y 10.6.x (Intel y PPC) 

Resumen de los resultados de los ataques a los distintos Algoritmos de Hash Seguros 

(SHA), comparando la fuerza ideal de cada algoritmo contra la fuerza residual frente a este 

ataque, lo que ilustra el grado de debilitamiento obtenido contra colisiones. 

Función Bits Fuerza Ideal de 

colisión 

Fuerza Residual postataque 

de colisión 

SHA-0 160 2 80 2 40 

SHA-1 160 2 80 2 39 

(1)SHA-224 224 2 112 2 39 (a) y 2 9 (b) 

(1)SHA-256 256 2 128 

2 39 (a) y 2 9 (b) 

(1)SHA-384 384 2 192 2 39 (a) y 2 9 (b) 

(1)SHA-512 512 2 256 

Tabla nº4 

2 39 (a) y 2 9 (b) 

En la tabla anterior se muestran las funciones de SHA atacadas ilustrando la 

reducción de la Fuerza Ideal frente a colisiones, es decir el grado de debilitamiento resultante 

en cada uno. (1) Estos algoritmos estándar FIPS 180-2 han sido informalmente agrupados 

cono familia SHA-2. (a) Valores con estados iniciales por vuelta desconocidos del registro 

(b) Valores con estados iniciales por vuelta conocidos del registro. 

Navegadores Web que actualizaron sus códigos para poder emplear el algoritmo SHA- 

2, fortaleciendo la seguridad de los sistemas de certificación. 



De Uso Público

Mozilla Firefox 

Internet Explorer 9 

Google Chrome 

Chromiun 

Safari 

Opera 

Iceweasel 

Konqueror, 

Midori 

AUTORIDADES, ESTANDARES Y APLICACIONES MIGRADAS A SHA256 ó SUPERIOR 

A continuación se dan a conocer las diferentes Autoridades de Certificación que han 

implementado algoritmos de cifrado SHA256 y que a su vez han tramitado la publicación de 

estos certificados en: 

Programa de Certificados Raíz de Microsoft (Internet Explorer), Repositorio de 

Certificados Raíz de Mozilla (Firefox), Aplicaciones y Estándares:: 

AC Nombre de la AC 

Tamaño de la 

Raíz 

Hash 

AffirmTrust AffirmTrust Commercial 2048 SHA256 

AffirmTrust AffirmTrust Premium 4096 SHA384 

AffirmTrust AffirmTrust Premium ECC ECDSA384 SHA384 

Česká pošta (Czech 

Post, PostSignum) 

PostSignum Root QCA 2 

Comodo COMODO ECC Certification 

Authority 

Comodo COMODO RSA Certification 

Authority 

Comodo USERTrust RSA Certification 

Authority 

2048 SHA256 

ECC384 SHA2 

4096 SHA384 

4096 SHA384 



De Uso Público

Comodo USERTrust ECC Certification 

Authority 

Entrust Entrust Root Certification 

Authority - G2 

ECDSA384 SHA384 

2048 SHA256 

GlobalSign GlobalSign Root CA R3 2048 SHA256 

GoDaddy Go Daddy Root Certificate 

Authority – G2 

GoDaddy Starfield Root Certificate 

Authority – G2 

2048 SHA256 

2048 SHA256 

GoDaddy Starfield Services Root – G2 2048 SHA256 

Government of The 

Netherlands, 

PKIoverheid 

Government of the 

United States of 

America, Federal 

PKI 

República 

Bolivariana de 

Venezuela, 

Superintendencia de 

Servicios de 

Certificación 

Electrónica 

(SUSCERTE) 

I.CA První 

certifikační autorita, 

a.s. 

I.CA První 

certifikační autorita, 

a.s. 

Staat der Nederlanden Root 

CA - G2 4096 SHA256 

Federal Common Policy CA 

Autoridad de Certificación Raíz 

de la República Bolivariana de 

Venezuela 

2048 SHA256 

4096 SHA384 

I.CA - Standard Certification 

Authority 2048 SHA256 

I.CA - Qualified Certification 

Authority 2048 SHA256 

KEYNECTSIS Keynectsis Root CA 2048 SHA256 

Microsec e-Szignó 

CA 

Microsoft 

Corporation 

Microsec e-Szigno Root CA 

2009 

Microsoft Root Certificate 

Authority 2010 

2048 SHA256 

4096 SHA256 

NetLock Ltd. NetLock Arany (Class Gold) 2048 SHA256 



De Uso Público

Főtanúsítvány 

NetLock Ltd. NetLock Platina (Class 

Platinum) Főtanúsítvány 

SECOM Trust 

Systems Co. Ltd. 

Security Communication 

RootCA2 

4096 SHA256 

2048 SHA256 

SwissSign AG SwissSign Gold Root CA - G3 4096 SHA256 

SwissSign AG SwissSign Platinum Root CA - 

G3 

4096 SHA256 

SwissSign AG SwissSign Silver Root CA - G3 4096 SHA256 

Taiwan-CA Inc. 

(TWCA) 

TWCA Root Certification 

Authority 2 

VeriSign VeriSign Universal Root 

Certification Authority 

4096 SHA256 

2048 SHA256 

VeriSign thawte Primary Root CA - G3 2048 SHA256 

VeriSign GeoTrust Primary Certification 


VeriSign VeriSign Class 3 Public 

Primary Certification Authority - 

G4 

2048 SHA256 

ECDSA SHA384 

VeriSign thawte Primary Root CA - G2 ECDSA SHA384 

VeriSign GeoTrust Primary Certification 


ECC384 ECDSA 

Verizon Business Verizon Global Root CA 2048 SHA256 

AffirmTrust AffirmTrust Commercial 2048 SHA256 

AffirmTrust AffirmTrust Premium 4096 SHA384 

AffirmTrust AffirmTrust Premium ECC ECC ECC 

COMODO CA 

Limited 

COMODO ECC Certification 

Authority 

GeoTrust Inc. GeoTrust Primary Certification 


ECC ECC 

2048 SHA256 

GlobalSign 2048 SHA256 

GoDaddy.com, Inc. Go Daddy Root Certificate 


2048 SHA256 

IZENPE S.A. Izenpe.com 4096 SHA256 



De Uso Público

Microsec Ltd. Microsec e-Szigno Root CA 

2009 

NetLock Kft. NetLock Arany (Class Gold) 

Főtanúsítvány 

Staat der 

Nederlanden 

Starfield 

Technologies, Inc. 

Starfield 

Technologies, Inc. 

Staat der Nederlanden Root 

CA - G2 

Starfield Root Certificate 


Starfield Services Root 

Certificate Authority - G2 

2048 SHA256 

2048 SHA256 

4096 SHA256 

2048 SHA256 

2048 SHA256 

thawte, Inc. thawte Primary Root CA - G2 ECC ECC 

thawte, Inc. thawte Primary Root CA - G3 2048 SHA256 

VeriSign, Inc. VeriSign Class 3 Public 

Primary Certification Authority - 

G4 

VeriSign, Inc. VeriSign Universal Root 

Certification Authority 

ESTANDARES Y APLICACIONES 

ECC ECC 

2048 SHA256 

FIPS Para el Estándar 180-1, sufre una actualización el 01 de agosto 

2002, surgiendo el 180-2 el cual añade tres algoritmos hash 

adicionales que utilizan grandes tamaño de clave (SHA256, 

SHA384 y SHA512). 

OPENSSL Actualmente Openssl (Secure Socket Layer) en sus versiones 

v0.9 y v1.0, soportan algoritmos SHA256, SHA384 y SHA512 

(v1.0). 

ADOBE • La suite Flash Player Security incorporó en su biblioteca 

criptográfica el algortimo SHA256. 

• El producto Flex 3 del Runtime Versions: Flash Player 9, 

AIR 1.1, incorporó el paquete mx.utils con Classpublic 

class SHA256 . 

Tabla nº5 



De Uso Público

Proveedores 

SITUACIÓN ACTUAL - VENEZUELA 

Actualmente ambos proveedores, la Fundación Instituto de Ingeniería para el 

Desarrollo Tecnológico y Procert, cumplen con la infraestructura tecnológica necesaria para 

actualizar al algoritmo de firma de SHA256, debido a que sus respectivos equipos de 

dispositivos criptográficos que almacenan, generan y protegen la clave criptográfica manejan 

este tipo de algoritmo. 

Descripción de los dispositivos criptográficos de los Proveedores de Servicio de 

Certificación Electrónica. 

Equipo de Hardware criptográfico NetHSM 500, marca NCIPHER. FIPS 140-2 Nivel 3, 

capacidad de procesamiento de 2000 peticiones RSA 1024 bits por segundo, soporta SHA-1, 

SHA-256, SHA-384 Y SHA-512. 

Línea de tiempo 

Noviembre 2005 

Colisión SHA1 

Diciembre 2010 

AC Raíz SHA384 

Septiembre 2010 

Notificación a los proveedores 

para migrar a SHA256 

31 Diciembre 2010 

Revocación Certificado 

AC Raíz SHA1 



De Uso Público

RECOMENDACIONES 

Dado lo expuesto con anterioridad, donde se han demostrado que efectivamente el 

sha1 posee diversas vulnerabilidades, se establecen algunas recomendaciones: 

1. Actualizar a tecnología SHA-256 o superior, debido a las vulnerabilidades descubiertas 

en la implementación del algoritmo SHA-1. Siendo SHA-256 uno de los algoritmos de 

hash más utilizados en distintas aplicaciones a nivel mundial, se cuenta con soporte 

para su implementación en forma nativa. 

2. Sistemas operativos y herramientas altamente utilizadas, tanto libres como privativas 

(caso de Canaima, Ubuntu, Windows, Adobe, OpenOffice, LibreOffice, Thunderbird, 

Aponwao, Arapan, Cunaguaro, Guácharo, Firefox, entre otros), a partir del año 2010 

alertan sobre la actualización del algoritmo hacia uno mas robusto, debido a las 

vulneraciones de las que ha sido víctima. 

3. Con la implementación del Algoritmo SHA-256 (tecnología existente en la Nación), la 

Superintendencia de Servicios de Certificación Electrónica, garantiza que cualquier 

intento por descifrar la información donde se haya utilizado el algoritmo de hash 

vulnerable, es en la práctica casi imposible. 

4. Divulgación del estándar FIP 140-2 (FIPS - Federal Information Processing Standard- 

estándares federales de procesamiento de la información), titulado como 

“Requerimientos de seguridad para módulos criptográficos” creado en el 2001 para la 

estandarización de módulos criptográficos en los que incluye componentes hardware y 

software basados también en código abierto. Esto motivado a que el FIPS 140-2, hoy 

en día es uno de los estándares que ha estado comprometido a actualizaciones, 

donde el NIST (Instituto Nacional de Normas y Tecnología - Institute of Standards and 

Technology) explícitamente obliga al FIPS-140-2 a ser actualizado cada 5 años. 



De Uso Público

5. Promover el uso de hardware con certificación FIP 140-2 tanto en los Proveedores de 

Certificación Electrónica (PSET) acreditados ante SUSCERTE como en la 

Infraestructura de PKI del estado Venezolano. Donde la Certificación FIPS asegura 

que el producto en Hardware ha sido revisado en un laboratorio para el cumplimiento 

del estándar 140-2, al menos en el nivel uno (1), de los cuatro (4) existentes. 

6. No obstante, con el descubrimiento de nuevas tecnologías, existiría un incremento en 

la vulnerabilidad de los sistemas de cifrado en Venezuela, en consecuencia 

SUSCERTE como órgano rector en materia de Certificación Electrónica debe tomar, 

las medidas necesarias para fortalecer la confianza y seguridad al Sistema Nacional 

de Certificación Electrónica. 

7. Para los certificados emitidos utilizando algoritmo de hash SHA-1, se recomienda 

sigan vigentes hasta el 31 de Diciembre de 2011, ya sea que caduquen o en caso se 

extienda su validez, deban ser revocados. 

8. De forma complementaria, y en aras de mitigar vulnerabilidades presentes en los 

sistemas criptográficos, se recomienda el empleo de certificados electrónicos con 

claves criptográficas de 2048 bits de cifrado para las nuevas emisiones, a partir del 01 

de Enero de 2011, debiendo revocar todo certificado con una longitud de clave menor 

que no caduque antes del 31 de Diciembre de 2013. Si se diera el caso que los 

dispositivos de hardware empleados no aceptan certificados con la longitud de clave 

mencionada, pueden ser emitidos certificados con claves de 1536 bits en adelante. 

9. Utilizar sistemas y productos fiables que estén protegidos contra toda alteración y que 

garanticen la seguridad técnica. 

10.Tomar medidas contra la falsificación de certificados y en el caso de la generación de 



De Uso Público

firmas electrónicas, garantizar su confidencialidad durante el proceso de generación y 

su entrega. 

11. Establecer Common Criteria (criterios comunes para la evaluación de la seguridad 

Tecnologías de la Información) en el sistema de infraestructura de clave pública de la 

nación así como en la plataforma tecnológica de los Proveedores de Servicios de 

Certificación Electrónica (PSET). Se recomienda que se evalúen como requisito 

mínimo a partir del EAL2, según los siguientes niveles mostrados a continuación: 

EAL1 

EAL2 

EAL3 

EAL4 

Nivel básico. Se evalúa la 

utilización apropiada de los 

algoritmos cripto, pero no su 

correcta implantación 

Nivel moderado de seguridad. 

Se analizan las funciones de 

seguridad utilizando 

especificaciones funcionales. 

Nivel medio de seguridad. Se 

analizan las funciones de 

seguridad y su diseño a alto 

nivel. 

Nivel alto de seguridad. Se 

analizan las funciones de 

seguridad y su diseño a alto y 

bajo nivel, su correcta 

implantación. 



De Uso Público

BIBLIOGRAFIA 

RFC-4270. P. Hoffman, B. Schneier, “Attacks on Cryptographic Hashes in Internet 

Protocols”, Counterpane Internet Security November 2005. 

Xiaoyun Wang1, Yiqun Lisa Yin, and Hongbo Yu. “Finding Collisions in the Full 

Sha-1n”. Shandong University, Jinan 250100, China. 

Siler Amador Donado, Luz Ángela Quijano Vidal y Edna Marcela Yela Meneses. 

“Colisiones en el algoritmo de ciframiento sha-1”. Junio de 2.009. 

Javier Jarauta Sánchez. “Seguridad Informática, Capitulo 20: Estándares de 

Seguridad”. Universidad Pontificia. Madrid, España 

Christophe De Canni`ere, Florian Mendel, and Christian Rechberger. “Collisions 

for 70-step SHA-1:On the Full Cost of Collision Search”. Graz University of 

Technology. Graz, Austria. 



De Uso Público

ANEXOS 

A. RFC 4270. Ataques a resúmenes criptográficos en protocolos de Internet 

Network Working Group P. Hoffman 

Request for Comments: 4270 VPN Consortium 

Category: Informational B. Schneier 

Counterpane Internet Security 

November 2005 

Attacks on Cryptographic Hashes in Internet Protocols 

Status of This Memo 

This memo provides information for the Internet community. It does 

not specify an Internet standard of any kind. Distribution of this 

memo is unlimited. 

Copyright Notice 

Copyright (C) The Internet Society (2005). 

Abstract 

Recent announcements of better-than-expected collision attacks in 

popular hash algorithms have caused some people to question whether 

common Internet protocols need to be changed, and if so, how. This 

document summarizes the use of hashes in many protocols, discusses 

how the collision attacks affect and do not affect the protocols, 

shows how to thwart known attacks on digital certificates, and 

discusses future directions for protocol designers. 

1. Introduction 

In summer 2004, a team of researchers showed concrete evidence that 

the MD5 hash algorithm was susceptible to collision attacks 

[MD5-attack]. In early 2005, the same team demonstrated a similar 

attack on a variant of the SHA-1 [RFC3174] hash algorithm, with a 

prediction that the normally used SHA-1 would also be susceptible 

with a large amount of work (but at a level below what should be 

required if SHA-1 worked properly) [SHA-1-attack]. Also in early 

2005, researchers showed a specific construction of PKIX certificates 



De Uso Público

[RFC3280] that use MD5 for signing [PKIX-MD5-construction], and 

another researcher showed a faster method for finding MD5 collisions 

(eight hours on a 1.6-GHz computer) [MD5-faster]. 

Because of these announcements, there has been a great deal of 

discussion by cryptography experts, protocol designers, and other 

concerned people about what, if anything, should be done based on the 

RFC 4270 Attacks on Hashes November 2005 

news. Unfortunately, some of these discussions have been based on 

erroneous interpretations of both the news and on how hash algorithms 

are used in common Internet protocols. 

Hash algorithms are used by cryptographers in a variety of security 

protocols, for a variety of purposes, at all levels of the Internet 

protocol stack. They are used because they have two security 

properties: to be one way and collision free. (There is more about 

these properties in the next section; they're easier to explain in 

terms of breaking them.) The recent attacks have demonstrated that 

one of those security properties is not true. While it is certainly 

possible, and at a first glance even probable, that the broken 

security property will not affect the overall security of many 

specific Internet protocols, the conservative security approach is to 

change hash algorithms. The Internet protocol community needs to 

migrate in an orderly manner away from SHA-1 and MD5 -- especially 

MD5 -- and toward more secure hash algorithms. 

This document summarizes what is currently known about hash 

algorithms and the Internet protocols that use them. It also gives 

advice on how to avoid the currently known problems with MD5 and 

SHA-1, and what to consider if predicted attacks become real. 

A high-level summary of the current situation is: 

o Both MD5 and SHA-1 have newly found attacks against them, the 

attacks against MD5 being much more severe than the attacks 

against SHA-1. 

o The attacks against MD5 are practical on any modern computer. 

o The attacks against SHA-1 are not feasible with today's computers, 

but will be if the attacks are improved or Moore's Law continues 

to make computing power cheaper. 

o Many common Internet protocols use hashes in ways that are 



De Uso Público

unaffected by these attacks. 

o Most of the affected protocols use digital signatures. 

o Better hash algorithms will reduce the susceptibility of these 

attacks to an acceptable level for all users. 

2. Hash Algorithms and Attacks on Them 

A "perfect" hash algorithm has a few basic properties. The algorithm 

converts a chunk of data (normally, a message) of any size into a 

fixed-size result. The length of the result is called the "hash 


length" and is often denoted as "L"; the result of applying the hash 

algorithm on a particular chunk of data is called the "hash value" 

for that data. Any two different messages of any size should have an 

exceedingly small probability of having the same hash value, 

regardless of how similar or different the messages are. 

This description leads to two mathematical results. Finding a pair 

of messages M1 and M2 that have the same hash value takes 2^(L/2) 

attempts. For any reasonable hash length, this is an impossible 

problem to solve (collision free). Also, given a message M1, finding 

any other message M2 that has the same hash value as M1 takes 2^L 

attempts. This is an even harder problem to solve (one way). 

Note that this is the description of a perfect hash algorithm; if the 

algorithm is less than perfect, an attacker can expend less than the 

full amount of effort to find two messages with the same hash value. 

There are two categories of attacks. 

Attacks against the "collision-free" property: 

o A "collision attack" allows an attacker to find two messages M1 

and M2 that have the same hash value in fewer than 2^(L/2) 

attempts. 

Attacks against the "one-way" property: 

o A "first-preimage attack" allows an attacker who knows a desired 

hash value to find a message that results in that value in fewer 

than 2^L attempts. 

o A "second-preimage attack" allows an attacker who has a desired 



De Uso Público

message M1 to find another message M2 that has the same hash value 

in fewer than 2^L attempts. 

The two preimage attacks are very similar. In a first-preimage 

attack, you know a hash value but not the message that created it, 

and you want to discover any message with the known hash value; in 

the second-preimage attack, you have a message and you want to find a 

second message that has the same hash. Attacks that can find one 

type of preimage can often find the other as well. 

When analyzing the use of hash algorithms in protocols, it is 

important to differentiate which of the two properties of hashes are 

important, particularly now that the collision-free property is 

becoming weaker for currently popular hash algorithms. It is 

certainly important to determine which parties select the material 

being hashed. Further, as shown by some of the early work, 


particularly [PKIX-MD5-construction], it is also important to 

consider which party can predict the material at the beginning of the 

hashed object. 

2.1. Currently Known Attacks 

All the currently known practical or almost-practical attacks on MD5 

and SHA-1 are collision attacks. This is fortunate: significant 

first- and second-preimage attacks on a hash algorithm would be much 

more devastating in the real world than collision attacks, as 

described later in this document. 

It is also important to note that the current collision attacks 

require at least one of the two messages to have a fair amount of 

structure in the bits of the message. This means that finding two 

messages that both have the same hash value *and* are useful in a 

real-world attack is more difficult than just finding two messages 

with the same hash value. 

3. How Internet Protocols Use Hash Algorithms 

Hash algorithms are used in many ways on the Internet. Most 

protocols that use hash algorithms do so in a way that makes them 

immune to harm from collision attacks. This is not by accident: good 

protocol designers develop their protocols to withstand as many 

future changes in the underlying cryptography as possible, including 

attacks on the cryptographic algorithms themselves. 



De Uso Público

Uses for hash algorithms include: 

o Non-repudiable digital signatures on messages. Non-repudiation is 

a security service that provides protection against false denial 

of involvement in a communication. S/MIME and OpenPGP allow mail 

senders to sign the contents of a message they create, and the 

recipient of that message can verify whether or not the signature 

is actually associated with the message. A message is used for 

non-repudiation if the message is signed and the recipient of the 

message can later use the signature to prove that the signer 

indeed created the message. 

o Digital signatures in certificates from trusted third parties. 

Although this is similar to "digital signatures on messages", 

certificates themselves are used in many other protocols for 

authentication and key management. 

o Challenge-response protocols. These protocols combine a public 

large random number with a value to help hide the value when being 

sent over unencrypted channels. 


o Message authentication with shared secrets. These are similar to 

challenge-response protocols, except that instead of using public 

values, the message is combined with a shared secret before 

hashing. 

o Key derivation functions. These functions make repeated use of 

hash algorithms to mix data into a random string for use in one or 

more keys for a cryptographic protocol. 

o Mixing functions. These functions also make repeated use of hash 

algorithms to mix data into random strings, for uses other than 

cryptographic keys. 

o Integrity protection. It is common to compare a hash value that 

is received out-of-band for a file with the hash value of the file 

after it is received over an unsecured protocol such as FTP. 

Of the above methods, only the first two are affected by collision 

attacks, and even then, only in limited circumstances. So far, it is 

believed that, in general, challenge-response protocols are not 

susceptible, because the sender is authenticating a secret already 

stored by the recipient. In message authentication with shared 

secrets, the fact that the secret is known to both parties is also 

believed to prevent any sensible attack. All key derivation 



De Uso Público

functions in IETF protocols take random input from both parties, so 

the attacker has no way of structuring the hashed message. 

4. Hash Collision Attacks and Non-Repudiation of Digital Signatures 

The basic idea behind the collision attack on a hash algorithm used 

in a digital-signature protocol is that the attacker creates two 

messages that have the same hash value, causes one of them to be 

signed, and then uses that signature over the other message for some 

nefarious purpose. The specifics of the attack depend on the 

protocol being used and what the victim does when presented with the 

signed message. 

The canonical example is where you create two messages, one of which 

says "I will pay $10 for doing this job" and the other of which says 

"I will pay $10,000 for doing this job". You present the first 

message to the victim, get them to sign it, do the job, substitute 

the second message in the signed authorization, present the altered 

signed message (whose signature still verifies), and demand the 

higher amount of money. If the victim refuses, you take them to 

court and show the second signed message. 


Most non-repudiation attacks rely on a human assessing the validity 

of the purportedly signed message. In the case of the hash-collision 

attack, the purportedly signed message's signature is valid, but so 

is the signature on the original message. The victim can produce the 

original message, show that he/she signed it, and show that the two 

hash values are identical. The chance of this happening by accident 

is one in 2^L, which is infinitesimally small for either MD5 or 

SHA-1. 

In other words, to thwart a hash collision attack in a nonrepudiation 

protocol where a human is using a signed message as 

authorization, the signer needs to keep a copy of the original 

message he/she signed. Messages that have other messages with the 

same hash must be created by the same person, and do not happen by 

accident under any known probable circumstances. The fact that the 

two messages have the same hash value should cause enough doubt in 

the mind of the person judging the validity of the signature to cause 

the legal attack to fail (and possibly bring intentional fraud 

charges against the attacker). 

Thwarting hash collision attacks in automated non-repudiation 

protocols is potentially more difficult, because there may be no 



De Uso Público

humans paying enough attention to be able to argue about what should 

have happened. For example, in electronic data interchange (EDI) 

applications, actions are usually taken automatically after 

authentication of a signed message. Determining the practical 

effects of hash collisions would require a detailed evaluation of the 

protocol. 

5. Hash Collision Attacks and Digital Certificates from Trusted Third 

Parties 

Digital certificates are a special case of digital signatures. In 

general, there is no non-repudiation attack on trusted third parties 

due to the fact that certificates have specific formatting. Digital 

certificates are often used in Internet protocols for key management 

and for authenticating a party with whom you are communicating, 

possibly before granting access to network services or trusting the 

party with private data such as credit card information. 

It is therefore important that the granting party can trust that the 

certificate correctly identifies the person or system identified by 

the certificate. If the attacker can get a certificate for two 

different identities using just one public key, the victim can be 

fooled into believing that one person is someone else. 


The collision attack on PKIX certificates described in early 2005 

relied on the ability of the attacker to create two different public 

keys that would cause the body of the certificate to have the same 

hash value. For this attack to work, the attacker needs to be able 

to predict the contents and structure of the certificate before it is 

issued, including the identity that will be used, the serial number 

that will be included in the certificate, and the start and stop 

dates of the validity period for the certificate. 

The effective result of this attack is that one person using a single 

identity can get a digital certificate over one public key, but be 

able to pretend that it is over a different public key (but with the 

same identity, valid dates, and so on). Because the identity in the 

two certificates is the same, there are probably no real-world 

examples where such an attack would get the attacker any advantage. 

At best, someone could claim that the trusted third party made a 

mistake by issuing a certificate with the same identity and serial 

number based on two different public keys. This is indeed 

far-fetched. 



De Uso Público

It is very important to note that collision attacks only affect the 

parts of certificates that have no human-readable information in 

them, such as the public keys. An attack that involves getting a 

certificate with one human-readable identity and making that 

certificate useful for a second human-readable identity would require 

more effort than a simple collision attack. 

5.1. Reducing the Likelihood of Hash-Based Attacks on PKIX Certificates 

If a trusted third party who issues PKIX certificates wants to avoid 

the attack described above, they can prevent the attack by making 

other signed parts of the certificate random enough to eliminate any 

advantage gained by the attack. Ideas that have been suggested 

include: 

o making part of the certificate serial number unpredictable to the 

attacker 

o adding a randomly chosen component to the identity 

o making the validity dates unpredictable to the attacker by skewing 

each one forwards or backwards 

Any of these mechanisms would increase the amount of work the 

attacker needs to do to trick the issuer of the certificate into 

generating a certificate that is susceptible to the attack. 


6. Future Attacks and Their Effects 

There is a disagreement in the security community about what to do 

now. Even the two authors of this document disagree on what to do 

now. 

One of us (Bruce) believes that everyone should start migrating to 

SHA-256 [SHA-256] now, due to the weaknesses that have already been 

demonstrated in both MD5 and SHA-1. There is an old saying inside 

the US National Security Agency (NSA): "Attacks always get better; 

they never get worse." The current collision attacks against MD5 are 

easily done on a single computer; the collision attacks against SHA-1 

are at the far edge of feasibility today, but will only improve with 

time. It is preferable to migrate to the new hash standard before 

there is a panic, instead of after. Just as we all migrated from 

SHA-0 to SHA-1 based on some unknown vulnerability discovered inside 

the NSA, we need to migrate from SHA-1 to SHA-256 based on these most 



De Uso Público

ecent attacks. SHA-256 has a 256-bit hash length. This length will 

give us a much larger security margin in the event of newly 

discovered attacks. Meanwhile, further research inside the 

cryptographic community over the next several years should point to 

further improvements in hash algorithm design, and potentially an 

even more secure hash algorithm. 

The other of us (Paul) believes that this may not be wise for two 

reasons. First, the collision attacks on current protocols have not 

been shown to have any discernible real-world effects. Further, it 

is not yet clear which stronger hash algorithm will be a good choice 

for the long term. Moving from one algorithm to another leads to 

inevitable lack of interoperability and confusion for typical crypto 

users. (Of course, if any practical attacks are formulated before 

there is community consensus of the properties of the cipher-based 

hash algorithms, Paul would change his opinion to "move to SHA-256 

now".) 

Both authors agree that work should be done to make all Internet 

protocols able to use different hash algorithms with longer hash 

values. Fortunately, most protocols today already are capable of 

this; those that are not should be fixed soon. 

The authors of this document feel similarly for new protocols being 

developed: Bruce thinks they should start using SHA-256 from the 

start, and Paul thinks that they should use SHA-1 as long as the new 

protocols are not susceptible to collision attacks. Any new protocol 

must have the ability to change all of its cryptographic algorithms, 

not just its hash algorithm. 


7. Security Considerations 

The entire document discusses security on the Internet. 

The discussion in this document assumes that the only attacks on hash 

algorithms used in Internet protocols are collision attacks. Some 

significant preimaging attacks have already been discovered 

[Preimaging-attack], but they are not yet practical. If a practical 

preimaging attack is discovered, it would drastically affect many 

Internet protocols. In this case, "practical" means that it could be 

executed by an attacker in a meaningful amount of time for a 

meaningful amount of money. A preimaging attack that costs trillions 

of dollars and takes decades to preimage one desired hash value or 

one message is not practical; one that costs a few thousand dollars 

and takes a few weeks might be very practical. 



De Uso Público

B. Informe de los Investigadores de la Universidad de Shadong (China) 

donde demuestran los procedimientos matemáticos con los que 

generaron colisiones en SHA1 para romper con la seguridad. 

Link de descarga: http://people.csail.mit.edu/yiqun/SHA1AttackProceedingVersion.pdf 

C. Viabilidad de SHA1 



De Uso Público



De Uso Público



De Uso Público



De Uso Público

D. Proyecto de Colisión SHA1 



De Uso Público



De Uso Público

E. Búsqueda de colisiones SHA1 



De Uso Público

F. Ataques de Colisiones SHA1 



De Uso Público



De Uso Público



De Uso Público

descargar - Publicador AC Raiz SUSCERTE

Create successful ePaper yourself

Delete template?

Save as template?